はじめに
IPA(情報処理推進機能)のネットワークスペシャリスト試験受験に向けて、個人的に作成した午後試験向けの試験対策メモ(早見表)を、備忘のために残しておく。
ちなみに、令和6年の午後試験では、DNS、電子署名、ルーティングがわかっていれば回答できる内容だった認識。
試験範囲
ネットワーク技術の範囲は広いが、試験に登場する技術は限られている。
- 特にDNS,DHCP,ルーティングは必ず出題されるので、暗記するまで学習する。
- セキュリティ、冗長化も出題されるので、時点で暗記する。
- セキュリティは公開鍵暗号方式の理解が基本。
- 冗長化は用語の暗記が基本
ネットワーク基礎(OSI参照モデル)
通信用プロトコルの階層構造。下位のプロトコル上で、上位プロトコルが動作する。最下層は物理的な電気信号であり、層毎に役割が異なっている。基本的な通信は、IPアドレス+ポート番号で指定する。
パケット構造を概要レベルで暗記しておく。
- データリンク層:MACアドレス
同一セグメント内(ルータで区切られた範囲)のホストと通信する。宛先はMACアドレスで指定する。- ARP / GARP / RARP プロトコル
IP→MACアドレス、MACアドレス→IPの変換
- ARP / GARP / RARP プロトコル
- ネットワーク層:IPアドレス
セグメントが異なるホストと通信する。宛先はIPアドレスで指定する。 - トランスポート層:ポート
ホスト上で、サービスを待ち受ける窓口番号。HTTPなら80、HTTPSなら443等。
DNS
ホスト名↔IPアドレスを変換するプロトコル。DNSに登録するレコード種類を暗記する。
| レコード種類 | 内容 |
|---|---|
| SOA | 管理情報。MNAME(プライマリサーバ)、RNAME(管理者メールアドレス)。refresh,retry,expire,default ttl |
| A | ホスト名→IPアドレス。DNSラウンドロビンも |
| MX | メールサーバのホスト名 |
| NS | DNSサーバのホスト名 |
| SRV | サービス名→ホスト名 |
| PTR | 逆引き(.in-addr.arpa.) |
| CNAME | 別名(ホスト名のエイリアス) |
| TXT | メモ。SPFで利用 |
| CAA | 証明書を発行できるCA |
DNSの種類(役割)
- コンテンツDNS(=権威DNS)
自ドメインのレコード情報を管理。ゾーン転送で冗長化 - キャッシュDNS(=フルサービスリゾルバ=DNSフォワーダ)
他ドメインへのDNS問い合わせを実施
DHCP
PCに動的なIPアドレスとネットワークマスク、DNSの情報を配布する。
DHCPメッセージ
- DISCOVER(PC→DHCPサーバ):ネットワークにブロードキャストしてDHCPにOFFER要求。
- OFFER(DHCPサーバ→PC):PCにIPアドレス候補を提示(複数サーバがある場合、早いものがち)
- REQUEST(PC→DHCPサーバ):PCが利用するIPアドレスを決定・利用申請
- ACK(DHCPサーバ→PC):DHCPサーバからIPアドレス利用許可
関連用語
- DHCPリレーエージェント
DHCPメッセージをルータ越えさせる機能(giaddrフィールド)。送信元IPアドレスから、払い出すサブネットを判定する - DHCPスヌーピング
ルータの機能で、DHCPで設定したIPアドレスからしか通信を受け付けない
ルーティング
IPアドレスを指定したときに、次に渡す隣接ノードを決定するプロトコル。隣接ノード情報はルーティング・テーブルに保持しており、プロトコルが異なっても、1つのルーティングテーブルを共同で埋めていく。
IGP(AS内)
AS(≒プロバイダ)内で利用されるルーティング経路決定プロトコル
RIP
ホップ数が低い経路を選択する(ディスタンスベクター型)。
OSPF(Open Shortest Path First)
「コスト」が低い経路を選択するリンクステート側プロトコル(コスト=100/通信速度)。
ただし、リンクステート型は全ルータ間の総当りで経路情報を作成するため、大規模なネットワークには不向き。このため、ある程度のノードをまとめて「エリア」を構成して、エリア間はディスタンスベクター型で経路を決定する。
-
基本情報
- エリア内:リンクステート型。LSDBに隣接情報を保存
- エリア外:ディスタンス・ベクター型。分轄したエリアへのホップ数
- SPF(Shortest Path First)=ダイクストラ法
-
用語
- エリア0=バックボーンエリア
すべてのエリアはエリア0に隣接する必要がある。隣接しない場合、バーチャルリンクを作成して仮想的に隣接させる。 - ABR(Area Border Router)、ASBR(AS Boundary Router)
エリア、ASの境界にあるルータ。2つのエリア、ASに所属する - DR/BDR(Design Router)
エリア内の全ルータ間の総当りで経路情報を作成するとコストがかかるため、代表ルータ(DR)とそれ以外のルータでLSAを交換する
- エリア0=バックボーンエリア
-
LSA=リンクステートアドバタイズメント(TYPE7まである)
- TYPE1:ルータLSA
- TYPE2:ネットワークLSA
- TYPE3:ネットワーク集約LSA
-
メッセージ
- Hello:エリア内の初期化、DR/BDR選定、生存確認
- DBD(Database Description):隣接ノードとLSA交換
- LSR(Link State Request):DBDで得たノードで、未知の経路へのLSA要求
- LSU(Link State Update):LSRへの返答
- LSAck(Link State Acknowledgement):LSA受領を返答
EGP(AS間)
BGP
通過するASパスが短い経路を選択。
- メッセージ
- OPEN:開始(終了時間を宣言)
- KEEPALIVE:OPENへの返答、生存確認
- NOTIFICATION:障害発生時
- ROUTE REFRESH:自分がBGPテーブルを削除したためルート情報を求める
- UPDATE:ルート情報(以下項目)の交換。2〜4のメッセージを受けて発生する
- AS_PATH:目的地へ向かう、通過ASリスト
- NEXT_HOP:目的地へ向かう、隣のピア。EGPなのでAS内ではNEXT_HOPを更新しないのがデフォルト(next_hop_selfで更新)
- MED(MULTI_EXIT_DISC):隣接eBGPピアに通知する、自ASへの経路の優先度
- LOCAL_PREF:自AS内に通知する、隣接eBGPへの経路の好ましさ数
冗長化
冗長化の手段はたくさんある。
- ネットワーク層
- OSPF等のルーティング
- PAC(プロキシ自動設定)
- DNSラウンドロビン
- VRRP
- 負荷分散装置
- データリンク層
- リンクアグリゲーション(経路の冗長化+高速化)
- STP,RSTP(VLAN上では利用できない)
- 物理層
- スタック(NICの冗長化+高速化)
VRRP
ルータを冗長化するプロトコル。冗長化できるが、負荷分散はできない
- VRRPアドバタイズメント:生存報告
- VRID:グループ番号。255まで
- プライオリティ値(優先度)が高いほうがactive
STP
データリンク層で経路を冗長化するプロトコル。冗長化できるが、負荷分散はできない
- ルートブリッジ:プライオリティ、MACアドレスが最も低い端末
- BPDU :Bridge Protocol Data Unit。メッセージ。
- パスコスト :ポートに設定。パスコストが低いルートを使う
- ポートの種類 :指定ポート、ルートポート、バックアップポート、代替ポート
- ポート状態遷移:ブロッキング、リスニング、ランニング、フォワーディング
セキュリティ
7大要素
4までが頻出。
- 完全生:メッセージ認証(MAC)、デジタル署名(データ改ざん防止)
- 機密性:暗号化/復号化(盗聴防止)
- 可用性:冗長化、事業継続性
- 真正性:認証、署名(なりすまし防止)
- 信頼性:バグ対策
- 責任追跡性:アクセスログ
- 否認防止性:アクセスログ、署名(本人特定)
暗号化:VPN
SSLハンドシェイク
SSLで暗号路を構築する手順
- ClientHello ↔ ServerHello
暗号化方式のネゴシエーション - Certificate
サーバ証明書の提示 - Server Key Exchange ↔ Client Key Exchange
DHアルゴリズムによる共通鍵交換(公開鍵・秘密鍵計算の剰余を共通鍵) - Change Cipher Spec Finished
準備完了 - 共通鍵(AES)による通信
IEEE802.1X
無線LANがAPに接続する際の認証を行う方法。RADIUS。
PMK交換 無線LAN、WPA/WPA2エンタープライズモード
- 認証:RADIUS。サプリカント→オーセンティケータ→認証サーバ(EAP)
- 認証サーバからPMK(Pairwise Master Key)配布
- PMKから一時キーを作成して通信
ネットワーク分轄:VPN、VLAN
IPSec
VPNで利用される暗号化プロトコル。NAPTを行えず、NAPTを超えるためには別途カプセル化(VPNパススルー、NATトラバーサル)が必要
- IKE SA
- メインモード:固定IP
- アグレッシブモード:動的IP
- Child SA :ESP(AHはあまり使わない)
SSL-VPN
ブラウザ上で、VPNに接続するプロトコル。クライアントはサーバ証明書で正しいサーバであることを確認。サーバはクライアント証明書で正しいクライアントであることを確認
- リバースプロキシ方式 :HTTPのみ …HTTPリバースプロキシ
- ポートフォワーディング方式 :ポート指定可能(固定)…NAPT
- L2フォワーディング方式 :ポート指定可能(動的)…仮想NIC、カプセル化
署名:電子証明書
署名
- デジタル署名=自己署名を含めた一般的な用語
- 電子署名=CAが認証した公式な署名
メッセージ認証(MAC)
本文+共通鍵をハッシュ関数に渡してMACを作成。同じ共通鍵を持っている人は、MACで本文の正しさを確認できる。
クライアント証明書
秘密鍵と公開鍵をクライアントで作成して、CAに公開鍵を含めて署名してもらう(証明書署名要求:CSR)。秘密鍵を持っている人が、クライアント証明書の真の保有者であることがわかる
サーバ証明書
秘密鍵と公開鍵をサーバで作成して、CAに公開鍵を含めて署名してもらう。秘密鍵を持っている人が、サーバ証明書の真の保有者であることがわかる
- subjectフィールド:CNにドメイン名を記入
- 公開鍵
- 有効期限
- シリアル番号
- CAのデジタル署名
その他
- 仮想化
- ハイパーバイザー
- HTTP/2
- 識別子:h2=HTTPS,h2c=HTTP
- ALPN :TLSのhelloClientで利用可能な上位プロトコルをリスト表示して、サーバが指定。TLS1.2から追加された。
- ストリーム:複数ファイルを同時にダウンロードする仕組み
- FTP
- アクティブモード:サーバ→クライアント
- パッシブモード :クライアント→サーバ
- SNMP
- ポーリング
- Trap
- MIB
- コミュニティ
- IP通話
- SIP , RTP
- PCM(64kbps) , ADPCM(32kbps) , CS-ACELP(8kbps)
- +α
- ループバックアドレス
IFではなく、機器自身に割り振られるIPアドレスのこと。 「127.0.0.1」は自身からしか指定できないが、 別のIPアドレスを付与すれば他の機器から指定できる。 - Perfect Forward Security(前方秘匿性)
公開鍵方式で秘密鍵が漏洩しても、過去の通信が解読できないようにすること - ICMP
エコー要求、エコー応答
- ループバックアドレス
参考webサイト
- ネットワークスペシャリスト – SE娘の剣 -(https://nw.seeeko.com/)
- SEの道標(https://milestone-of-se.nesuke.com/category/nw-basic/)
- NetworkStudy(https://www.infraexpert.com/study/)
- ポート番号(https://www.k-friendly.com/9038)
